ช่องโหว่ Microsoft Copilot: คำเตือนใหม่เกี่ยวกับความเสี่ยงในการรั่วไหลของข้อมูล AI

เนื่องจากปัญญาประดิษฐ์ (AI) เข้ามามีบทบาทในทุกสิ่งทุกอย่าง ตั้งแต่การเขียนรายงาน การตอบอีเมล ไปจนถึงการวิเคราะห์ข้อมูล ดูเหมือนว่าเรากำลังอยู่ในยุคที่ความสะดวกสบายมีมากขึ้นอย่างไม่เคยมีมาก่อน แต่ข้อเสียของความสะดวกสบายก็เริ่มปรากฏให้เห็นชัดเจน โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของความปลอดภัย

ช่องโหว่ด้านความปลอดภัยล่าสุดที่เรียกว่า EchoLeak ทำให้ผู้ใช้บริการ Microsoft Copilot เสี่ยงต่อการรั่วไหลของข้อมูลสำคัญโดยที่ไม่ได้ดำเนินการใดๆ

เมื่อ AI กลายเป็นจุดอ่อนด้านความปลอดภัย

ตามการวิจัยของ Tuoi Tre Online พบว่า EchoLeak เป็นช่องโหว่ด้านความปลอดภัยที่เพิ่งถูกบันทึกใหม่โดยมีรหัส CVE-2025-32711 ซึ่งผู้เชี่ยวชาญให้คะแนนว่าเป็นอันตรายที่ 9.3/10 ตามมาตราส่วนของ NIST

สิ่งที่ผู้เชี่ยวชาญด้านความปลอดภัยกังวลคือ โดยธรรมชาติแล้วจะเป็น "ไม่ต้องคลิกเลย" ผู้โจมตีสามารถใช้ประโยชน์จากข้อมูลจาก Copilot ได้โดยที่ผู้ใช้ไม่จำเป็นต้องคลิก เปิดไฟล์ หรือแม้แต่รู้ว่ามีอะไรเกิดขึ้นเลย

นี่ไม่ใช่จุดบกพร่องธรรมดา ทีมวิจัยที่ Aim Labs ซึ่งค้นพบจุดบกพร่องดังกล่าวเชื่อว่า EchoLeak สะท้อนถึง ข้อบกพร่องด้านการออกแบบทั่วไป ในระบบ AI ที่ใช้เอเจนต์และ RAG เนื่องจาก Copilot เป็นส่วนหนึ่งของชุดแอป Microsoft 365 ที่เก็บอีเมล เอกสาร สเปรดชีต และตารางการประชุมของผู้ใช้หลายล้านคน ความเสี่ยงต่อการรั่วไหลของข้อมูลจึงร้ายแรงเป็นพิเศษ

ปัญหาไม่ได้อยู่ที่โค้ดเฉพาะเท่านั้น แต่ยังอยู่ที่วิธีการทำงานของโมเดลภาษาขนาดใหญ่ (LLM) ด้วย AI จำเป็นต้องมีบริบทจำนวนมากจึงจะตอบสนองได้อย่างแม่นยำ ดังนั้นจึงสามารถเข้าถึงข้อมูลเบื้องหลังจำนวนมากได้ หากไม่มีการควบคุมที่ชัดเจนเกี่ยวกับอินพุตและเอาต์พุต AI อาจถูก "ขับเคลื่อน" ด้วยวิธีต่างๆ ที่ผู้ใช้ไม่ทราบ สิ่งนี้จะสร้าง "ช่องทางลับ" รูปแบบใหม่ที่ไม่ใช่เพราะข้อบกพร่องในโค้ด แต่เป็นเพราะ AI มีพฤติกรรมที่อยู่เหนือความเข้าใจของมนุษย์

Microsoft ออกแพตช์อย่างรวดเร็ว และยังไม่มีรายงานความเสียหายในโลกแห่งความเป็นจริงแต่อย่างใด แต่บทเรียนจาก EchoLeak ชัดเจน: เมื่อ AI ถูกผสานรวมอย่างลึกซึ้งในระบบที่ใช้งานได้ แม้แต่ข้อผิดพลาดเล็กๆ น้อยๆ ในการทำความเข้าใจบริบทก็อาจส่งผลกระทบด้านความปลอดภัยอย่างร้ายแรงได้

ยิ่ง AI สะดวกมากขึ้นเท่าไหร่ ข้อมูลส่วนบุคคลก็ยิ่งเปราะบางมากขึ้นเท่านั้น

เหตุการณ์ EchoLeak ทำให้เกิดคำถามที่น่าวิตกกังวลว่าผู้คนไว้วางใจ AI มากจนไม่รู้ว่าพวกเขา สามารถติดตามหรือเปิดเผยข้อมูลส่วนตัวได้ เพียงแค่ส่งข้อความหรือไม่ ช่องโหว่ที่เพิ่งค้นพบใหม่นี้ช่วยให้แฮกเกอร์ดึงข้อมูลออกมาได้อย่างเงียบ ๆ โดยที่ผู้ใช้ไม่ต้องกดปุ่มใด ๆ เป็นสิ่งที่ครั้งหนึ่งเคยเห็นแต่ในภาพยนตร์นิยายวิทยาศาสตร์เท่านั้น แต่ตอนนี้ได้เกิดขึ้นจริงแล้ว

แม้ว่าแอปพลิเคชัน AI จะได้รับความนิยมเพิ่มมากขึ้นเรื่อยๆ ตั้งแต่ผู้ช่วยเสมือนอย่าง Copilot แชทบอทในระบบการธนาคาร การศึกษา ไปจนถึงแพลตฟอร์ม AI ที่เขียนเนื้อหาและประมวลผลอีเมล แต่ผู้คนส่วนใหญ่ไม่ได้รับการเตือนเกี่ยวกับวิธีการประมวลผลและจัดเก็บข้อมูลของพวกเขา

การ “แชท” กับระบบ AI ไม่ใช่แค่การถามคำถามเพียงไม่กี่ข้อเพื่อความสะดวกอีกต่อไป แต่ยังสามารถเปิดเผยตำแหน่งที่อยู่ นิสัย อารมณ์ หรือแม้แต่ข้อมูลบัญชีของคุณโดยไม่ได้ตั้งใจอีกด้วย

ในเวียดนาม หลายคนคุ้นเคยกับการใช้ AI บนโทรศัพท์และคอมพิวเตอร์โดยที่ไม่รู้ พื้นฐานเกี่ยวกับความปลอดภัยทางดิจิทัล หลายคนแบ่งปันข้อมูลส่วนตัวกับ AI เพราะพวกเขาเชื่อว่า "มันเป็นเพียงเครื่องจักร" แต่ในความเป็นจริง เบื้องหลังมันคือระบบที่สามารถบันทึก เรียนรู้ และส่งข้อมูลไปยังที่อื่นได้ โดยเฉพาะอย่างยิ่งเมื่อแพลตฟอร์ม AI มาจากบุคคลที่สามและไม่ได้รับการทดสอบความปลอดภัยอย่างชัดเจน

เพื่อจำกัดความเสี่ยง ผู้ใช้ไม่จำเป็นต้องละทิ้งเทคโนโลยี แต่จำเป็นต้องตระหนักรู้ให้มากขึ้น โดยควรตรวจสอบอย่างรอบคอบว่าแอปพลิเคชัน AI ที่พวกเขาใช้มีแหล่งที่มาที่เชื่อถือได้หรือไม่ ข้อมูลได้รับการเข้ารหัสหรือไม่ และโดยเฉพาะอย่างยิ่ง อย่าแชร์ข้อมูลที่ละเอียดอ่อน เช่น หมายเลขบัตรประชาชน บัญชีธนาคาร ข้อมูลสุขภาพ... กับระบบ AI ใดๆ โดยไม่ได้รับคำเตือนอย่างชัดเจน

เช่นเดียวกับเมื่ออินเทอร์เน็ตถือกำเนิดขึ้นครั้งแรก AI ก็ต้องใช้เวลาในการปรับปรุงให้สมบูรณ์แบบ และในช่วงเวลาดังกล่าว ผู้ใช้ควรเป็นกลุ่มแรกที่ดำเนินการปกป้องตนเองอย่างจริงจัง